Betydelig bøde på over 1 mio. kr. til Dansk Taxaselskab og IDdesign, og forbud til TDC

Datatilsynet har den 25. marts 2019 politianmeldt Taxa 4x35 og indstillet til en bøde på 1,2 mio. kr.  for overtrædelse af reglerne i databeskyttelsesforordningen. Dette er det første offentligt fremlagte bødeforlæg som er kommet fra Datatilsynet efter EU GDPR fik virkning den 25. maj sidste år, og bøden viser en markant skærpelse i forhold til tidligere praksis, hvor den højeste bøde lå på under 30.000 kr. Senest har også IDdesign fået en bøde for ikke at slette oplysninger i et gammelt IT system.

Datatilsynet har også afgjort, at TDC i strid med reglerne i databeskyttelsesforordningen har optaget telefonsamtaler med kunder til intern træningsbrug, uden samtykke, da IT systemet automatisk optog alle samtaler. Datatilsynet har i den forbindelse udstedt et forbud mod, at TDC optager telefonsamtaler til træningsbrug, indtil der er implementeret en teknisk løsning.

Bøden til taxaselskabet og påbuddet til TDC illustrerer, at Datatilsynet anlægger en praksis som er lig med hvad vi ser fra de andre Europæiske lande, hvilket også er et af formålene med databeskyttelsesforordningen.

Om afgørelserne

Taxasagen handlede om de grundlæggende principper for god databehandlingsskik[1]. Konkret havde taxaselskabet opbevaret oplysninger om køreture op til 5 år tilbage i tiden (ca. 9 mio. personhenførbare ture), fordi de ikke havde implementeret tilstrækkelig anonymisering. Taxaselskabet havde selv sat en grænse på 2 år for taxature, hvorefter de fjernede navn på personerne, men ikke telefonnummeret, fordi IT-systemet havde brug for telefonnummeret til intern forretningsudvikling.

I Taxasagen lagde Datatilsynet afgørende vægt på 2 forhold:

1.) At taxa-selskabet ikke levede op til reglerne til reglerne om opbevaringsbegrænsning pga. utilstrækkelig anonymisering.

2.) At taxa-selskabet ikke overholdt reglerne om dataminimering idet telefonnummer ikke var nødvendigt i 5 år forhold til de formål som de opbevares til.

I TDC sagen havde TDC oplyst, at man optog samtaler uden samtykke, fordi det ikke var teknisk muligt at indhente et gyldigt samtykke. Ifølge Datatilsynet var dette utilstrækkeligt grund til at begrunde optagelse og viderebehandling uden samtykke.

Hvad viser sagerne?

Sagerne viser, at manglende fokus på teknisk compliance med persondataforordningen kan lede til bøde eller påbud. I disse tilfælde var der ikke tale om en kompleks vurdering af f.eks. sikkerhedsforanstaltninger, men udelukkende grundlæggende funktionalitet der skal være til stede for at leve op til forordningens krav.

Sagen viser også, at datatilsynet ikke tager hensyn til eventuelle omkostninger ved afhjælpning af de manglende funktioner.

Endelig viser sagen, at Datatilsynet slår hårdt ned på manglende compliance, hvad enten det angår grundprincipper eller individets rettigheder.

Anbefalinger:

1. Sørg for at have et systemoverblik og overblik over det lovlige grundlag for behandling, hvor det fremgår klart om systemerne har de påkrævede funktioner
2. Hav en slettepolitik som er implementeret korrekt, og hvor der er sat rimelige frister ud fra saglige hensyn
3. Sørg for at forpligtelserne ved samtykke kan løftes teknisk.
4. Hvis ikke systemerne har de påkrævede funktioner skal det enten ændres, eller udskiftes. Ignorering af risici er ikke en lovlig grund for manglende compliance.

Link til sagerne:

https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2019/jun/tilsyn-med-iddesigns-behandling-af-personoplysninger/ (IDdesign)

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2019/mar/datatilsynet-indstiller-taxaselskab-til-boede-paa-1-2-mio-kr/ (Taxa)   

https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2019/apr/forbud-til-tdc-om-optagelse-af-telefonsamtaler-uden-samtykke/ (TDC)

[1] Art. 5 i databeskyttelsesforordningen